pci-dss

SAD

Sensitive Authentication Data

Dữ liệu xác thực nhạy cảm trong PCI-DSS, bao gồm full magnetic stripe, CVV/CVC, PIN, không được lưu sau authorization.

SAD (Sensitive Authentication Data) là gì?

SAD, viết tắt của Sensitive Authentication Data (Dữ liệu Xác thực Nhạy cảm), là nhóm thông tin đặc biệt nhạy cảm liên quan đến thẻ thanh toán mà tiêu chuẩn PCI-DSS quy định nghiêm ngặt nhất. Không giống như dữ liệu chủ thẻ thông thường (cardholder data), SAD bị cấm lưu trữ vĩnh viễn sau khi quá trình authorization (xác thực giao dịch) đã hoàn tất, dù hệ thống có mã hóa hay không.

SAD bao gồm ba loại chính:

  • Full magnetic stripe data (hoặc dữ liệu chip tương đương): Toàn bộ nội dung dải từ trên thẻ, chứa đủ thông tin để tái tạo thẻ vật lý.
  • CAV2/CVC2/CVV2/CID (thường gọi chung là CVV/CVC): Mã bảo mật in trên mặt sau thẻ (hoặc mặt trước với Amex), dùng để xác minh giao dịch không có thẻ vật lý (card-not-present).
  • PIN và PIN block: Mã PIN do chủ thẻ nhập, cùng dữ liệu mã hóa của nó.

Tại sao SAD quan trọng trong bảo mật thanh toán?

SAD là mục tiêu hàng đầu của các cuộc tấn công vào hệ thống thanh toán vì chúng cho phép kẻ xấu giả mạo giao dịch hoặc sao chép thẻ. Nếu CVV/CVC bị lộ, kẻ tấn công có thể thực hiện giao dịch trực tuyến mà không cần thẻ vật lý. Nếu dữ liệu magnetic stripe bị đánh cắp, thẻ clone có thể được tạo ra.

Đây là lý do PCI-DSS áp đặt quy tắc tuyệt đối: không được lưu SAD sau authorization dưới bất kỳ hình thức nào: kể cả trong log, cache, database, hay file tạm. Quy định này thuộc Requirement 3 của PCI-DSS và không có ngoại lệ kỹ thuật nào được chấp nhận.


Áp dụng trong khuôn khổ PCI-DSS

Trong PCI-DSS v4.0, các yêu cầu liên quan đến SAD được quy định cụ thể:

  • Requirement 3.2: Không lưu SAD sau khi authorization hoàn tất, kể cả khi dữ liệu được mã hóa.
  • Requirement 3.3: Nếu SAD cần lưu tạm thời trước authorization (ví dụ trong môi trường issuer), phải có biện pháp bảo vệ đặc biệt và giới hạn thời gian lưu rõ ràng.
  • Requirement 3.5: Số thẻ (PAN) phải được bảo vệ với mã hóa mạnh, nhưng SAD thì không được lưu, không phải chỉ cần mã hóa.

Sự khác biệt quan trọng: PAN (Primary Account Number) có thể lưu nếu được bảo vệ đúng cách, còn SAD thì không được lưu trong bất kỳ trường hợp nào sau authorization.


Ví dụ thực tế

Một công ty SaaS xử lý thanh toán tích hợp cổng thanh toán bên thứ ba. Trong quá trình debug, developer vô tình bật log toàn bộ payload API, bao gồm cả trường cvv từ form phía người dùng. Log được lưu vào hệ thống theo dõi lỗi trong nhiều tuần.

Đây là vi phạm SAD điển hình: CVV đã bị lưu sau authorization dù không có chủ ý. Để xử lý, tổ chức cần xóa log ngay lập tức, kiểm tra xem dữ liệu đã lan ra hệ thống nào, vá lỗi cấu hình, và ghi nhận sự cố vào hồ sơ compliance.


SAD và compliance automation

Việc kiểm soát SAD đòi hỏi giám sát liên tục, không chỉ kiểm tra định kỳ một lần. Hệ thống cần tự động phát hiện khi SAD xuất hiện ở nơi không được phép: trong log, trong database schema, hay trong dữ liệu lưu cache. Các công cụ quét dữ liệu nhạy cảm (data discovery), kết hợp với chính sách kiểm soát truy cập và audit trail, tạo thành lớp phòng thủ cần thiết để duy trì trạng thái tuân thủ PCI-DSS.

pTrackly giúp đội ngũ compliance theo dõi trạng thái kiểm soát SAD và các yêu cầu PCI-DSS liên quan theo thời gian thực, giảm thiểu rủi ro bỏ sót trong môi trường hệ thống phức tạp.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo